360网站安全检测高危到网站安全比肩360的过程_360网站安全检测100分
我的站点dwtedx个人博客www.dwtedx.com
以前用360安全检测只有40分左右、也是处于高危状态
那么我是怎么做到将网站得分提升至100分的呢、下面我就来分享一下我的经验
有图有真像、还是先给大家看一下我博客的得分
相信用的360网站安全检测的站长们都要对这个页面不陌生、相信各位看到这篇文章的站长都想得到这个分数
我的博客在第一次接受360安全检测的时候得分实在是很可怜大概分以下两点
一、没有严格验证 session 里面的用户信息
我的数据库都被入侵了、我记得我数据库里面全部都 8888 的字样
当时我还以为是黑客来了、吓惨了(当时也是刚刚建站)随后我就多翻了几页数据库
发现这个360的ip123.125.160.217
随后一查才知道是360网站安全检测的ip、第一次检查的时候 写博文的页面http://www.dwtedx.com/forumsend.html
丰富在跨越攻击的风险、所以数据库全是 8888 的字样、的确是安全性做不够
我的解决方案就是把网站的session 做严格的验证、代码处理是这样的
isset($_SESSION[´userId´])第一次检测的时候差不多都是这个问题、在往数据库写数据的时候没有严格验证 session 里面的用户信息
二、SQL注入的问题
sql注入的问题呢、差不多的页面都有、当时我只解决了部分页面的问题、解决的都是高危的 SQL注入问题
因为我对外开发的写博文和分享技术的功能、这两个页面的 SQL注入问题是最大的
1、我的解决方案是这样的 2分钟之内不能重复写博文和分享技术
后台是通过用户的ip和上一次写博文或者分享技术的时间来控制的
2、在后台做 HTML处理
$content = strip_tags($content);// 删除所有HTML标签这个是判断是否为空的方法、另外如果是用户填写了HTML 源代理、那么我们得在后台做转义
htmlentities($str,ENT_COMPAT,"UTF-8")这样就能确保不被 SQL注入了
以上解决的高危的 SQL注入、当我再检测的时候、得分是98分、还是存在两个轻微的SQL注入
当时我没有找到问题的原因、就一直放在那里没有处理了
直到前两天我发现我打开我的博客有恶意广告我才重视了这两个轻微的SQL注入
当我排查了很久之后才发现是运营商搞的鬼、也就是艾普宽带强制添加的广告
这里请参考我另外一篇文章艾普宽带好吗、艾普宽带广告植入、禁止PING、共享IP访问互联网
好了、言归正转、还是跟大家分享一下我是怎么解决两个
三、轻微SQL注入的
先给大家看下我后台的日志、也就是轻微SQL注入的方法、相信大家一个就懂
http://www.dwtedx.com/individualdoc.html?code=<script>alert(42873)</script>
那么解决方案也很简单、就是对转入的参数进行严格的验证
以保证数据的有效性、因为我的参数是数值类型的、所以我的解决方案是这样的
if(is_numeric($_GET[´code´])){
//使用参数
}
希望我的博文能够帮助各位站长提升 360网站安全检测的得分